セキュリティ企業Oxは2026年5月12日(火)、マルウェア集団TeamPCPが自身のマルウェア「Shai-Hulud」ワームのソースコードをGitHub上の2つのリポジトリで公開しているのを発見した。リポジトリにはTeamPCPからのメッセージが添えられ、ライセンスにはMIT Licenseが採用されている。The Registerが記事公開の数時間前に確認した時点のフォーク数は1と31だったが、執筆時点では5と39に増加していた。
Oxは、別のGitHubユーザー「agwagwagwa」がすでにフォークし、FreeBSDサポートを追加するプルリクエストを提出していると指摘した。Shai-Huludワームはnpmパッケージを攻撃し、AWS、GCP、Azure、GitHubの認証情報を窃取して自己増殖する。2025年9月に研究者により発見され、同年11月には強化された亜種が登場している。記事執筆時点でリポジトリは12時間以上オンラインのままで、MicrosoftのGitHubは介入していない。
From: 
Malware crew TeamPCP open-sources its Shai-Hulud worm on GitHub
【編集部解説】
今回のニュースの本質は「マルウェアそのものの公開」ではなく、攻撃能力の民主化(democratization of offense)が一線を越えたという事実にあります。これまで闇市場で売買されてきた攻撃ツールが、開発者向けプラットフォームの上でMITライセンスというお墨付きを得て、誰でも改変・再配布できる形になった点が極めて異例なのです。
そもそもShai-Huludワームは2025年9月15日、ReversingLabsの研究者によってnpmレジストリ上で初めて確認されました。最初の感染源は「rxnt-authentication」というパッケージで、わずか数日で数百のnpmパッケージへと自己増殖し、史上初の「自己複製型サプライチェーンワーム」として警鐘を鳴らしました。名前はフランク・ハーバートのSF小説『デューン』に登場する砂漠の巨大砂虫から取られており、その名の通り開発エコシステムを内側から食い尽くす設計になっています。
その後、2025年11月の「Shai-Hulud 2.0(Second Coming)」では25,000を超える悪意あるリポジトリが攻撃者によって作成されたとSnykやReversingLabsが報告しています。その後も亜種が継続的に登場し、2026年に入ってからは「Mini Shai-Hulud」と呼ばれる新たな波が観測されました。中でも5月11日に発生したTanStack攻撃は、Snykの分析によれば CVE-2026-45321 に該当し Critical(致命的)と評価され、週1,270万ダウンロードを誇る @tanstack/react-router を含む42パッケージが汚染され、Mistral AIやUiPathまで巻き込んだ大規模事案として記憶に新しいところです。
そして問題は、こうした攻撃の中核ロジックが今回オープンソース化されたという点です。TeamPCP自身がリポジトリに残した「Is it vibe coded? Yes.」という挑発的なメッセージは、彼らがAI支援によるコーディング(いわゆる「バイブコーディング」)でマルウェアを開発したことを示唆しており、生成AI時代における攻撃者の生産性向上を端的に物語っています。
技術的に最も恐ろしいのは、このワームに組み込まれた「デッドマンスイッチ」と呼ばれる自己破壊機構です。The Hacker News の報道によれば、最新の亜種では攻撃者が作成したnpmトークンに「IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner(このトークンを取り消せば持ち主のPCは消去される)」という名前が付けられており、開発者が無効化を試みると rm -rf ~/ でホームディレクトリを削除する設計になっていると伝えられています。被害者を脅迫的に「人質」に取る攻撃手法は、ランサムウェアとも一線を画す悪質さを持ちます。
オープンソース化の意味するところは深刻です。Oxのアナリストが述べたように、TeamPCPはもはやマルウェアを「配る」のではなく、「能力」そのものを配布しています。経験の浅い攻撃者であってもMITライセンスのコードをフォークし、C2サーバーや鍵を差し替えるだけで自分専用の亜種を作れる。The Registerが公開前に確認した時点から執筆時点までのわずか数時間で、2リポジトリ合計のフォーク数が32から44に急増した事実は、模倣犯がすでに動き出している証拠と言えるでしょう。
この事案は、GitHubを運営するMicrosoftにも厳しい問いを突きつけています。同社は2025年12月以降、Microsoft Defenderの拡張やSBOM(Software Bill of Materials)連携などサプライチェーン防衛を強化してきましたが、今回はリポジトリが12時間以上削除されないまま放置されました。プラットフォーム運営者の責任範囲、つまり「どこまでがホスティングの自由で、どこからが共犯となるのか」という線引きが改めて問われています。
経済的視点でも見過ごせません。ある業界予測では、ソフトウェアサプライチェーン攻撃の被害額が2025年に600億ドル規模、2031年には1,380億ドルに達するとの推計もあり、規模感の参考とされています。一方でnpmエコシステムは、JavaScriptフレームワーク経由で日本の多くのWebサービス、SaaS、フィンテックでも広く利用されている基盤でもあります。@tanstack/react-routerが週1,270万ダウンロードという数字は、私たちの日常的に使うサービスが知らぬ間に「汚染候補リスト」に載っている現実を示しています。
長期的視点では、防御側の発想転換が避けられません。pnpm、Yarn Berry、Bunといった「コンシューマー側」のパッケージマネージャはすでにライフサイクルスクリプトのデフォルト無効化や「リリース冷却期間」といった対策を実装済みですが、npm CLI自身はその領域で出遅れています。OIDCによるトラステッドパブリッシング、SLSAプロベナンス、WebAuthnベースの2FAなど、対策の選択肢は揃っているものの、それらを「全部使う」開発組織はまだごく少数です。
規制面では、米国のEO 14028(サイバーセキュリティ大統領令)やEUのCRA(Cyber Resilience Act)がSBOM提出を義務化する方向に進んでおり、日本でも経済産業省が「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」(2024年8月にver2.0公開)を発行しています。今回のオープンソース化事件は、こうした制度整備の必要性をより強く認識させる契機になり得ると編集部は考えています。
innovaTopiaがこの記事を取り上げる理由は、これが単なるセキュリティ事案ではないからです。AIによる開発生産性の向上、オープンソース文化、ライセンスのあり方、プラットフォームの責任、そして人間がコードに置く「信頼」そのものが揺らぐ転換点。Shai-Huludのオープンソース化は、ソフトウェア開発という人類のインフラが、攻撃と防御の非対称性を抱えたまま次のフェーズへ突入したことを告げる象徴的な出来事なのです。
【用語解説】
Shai-Hulud(シャイ・フルード)
フランク・ハーバートのSF小説『デューン』に登場する惑星アラキスの巨大な砂虫の名前。マルウェア研究者はこの自己増殖型npmワームに、開発エコシステムを内側から食い尽くす姿を重ねて命名した。
npm(Node Package Manager)
JavaScriptの世界最大級のパッケージレジストリで、Node.jsを利用するすべての開発者がコードの再利用に依存している基盤。
サプライチェーン攻撃
ターゲット組織を直接狙うのではなく、その組織が信頼して利用しているソフトウェア、ライブラリ、ベンダーなどに悪意あるコードを仕込み、間接的に侵入する攻撃手法である。
自己複製型ワーム(self-propagating worm)
人間が手動で広めなくても、感染した環境の権限を悪用して自分自身を他のパッケージや環境へ自動的にコピー・拡散していくマルウェアの形態。
バイブコーディング(vibe coding)
生成AIに「雰囲気」レベルの指示を与えて、構文や仕様の詳細を意識せずコードを書かせる手法。スピード重視で品質や保守性は後回しになりやすい。
C2サーバー(Command and Control サーバー)
攻撃者が感染端末に指令を送り、盗んだデータを受け取るための司令塔となる外部サーバーのこと。
デッドマンスイッチ(dead-man’s switch)
特定の条件が満たされた場合(例:攻撃用トークンが取り消された場合)に自動的に破壊行為を発動する仕組み。本件ではホームディレクトリ削除がトリガーされる。
ライフサイクルスクリプト
npmパッケージのインストール前後(preinstall / postinstall)に自動実行されるスクリプト。攻撃者にとって最大の攻撃面になっている。
OIDC(OpenID Connect)/ トラステッドパブリッシング
APIトークンを保管せず、CI/CDワークフローからの短期的な認証情報でパッケージを公開する仕組み。トークン漏えいを防ぐ目的で導入された。
SLSAプロベナンス
パッケージが「どのリポジトリの、どのコミットから、どのワークフローでビルドされたか」を暗号学的に証明するための仕組み。ただし、ビルド工程自体が乗っ取られると無効化される。
SBOM(Software Bill of Materials)
ソフトウェアに含まれる全コンポーネント・依存関係を明示した「部品表」。米国EO 14028やEU CRAなどで提出義務化が進んでいる。
WebAuthn / 2FA
パスワードに加えて物理キーや生体認証で本人確認を行う認証方式。WebAuthnはフィッシング耐性が高く、TOTP(時間ベースのワンタイムパスワード)より安全とされる。
MITライセンス
著作権表示さえ残せば、商用・改変・再配布をほぼ無制限に認めるオープンソースライセンスの代表格。今回TeamPCPがあえてこれを選んだ点が大きな皮肉となっている。
CVE / CVSS
CVEは脆弱性に与えられる世界共通の識別番号、CVSSはその深刻度を0〜10で表すスコア。9.0以上は「Critical(致命的)」に分類される。
【参考リンク】
Ox Security(外部)
Shai-Huludオープンソース化を最初に発見・公表したAppSec企業。統合プラットフォームを提供している。
ReversingLabs(外部)
2025年9月にShai-Huludワームを世界で初めて発見したセキュリティ研究企業。Spectra Assureが主力。
GitHub(外部)
Microsoft傘下の世界最大のソースコード共有プラットフォーム。npmレジストリの運営も担っている。
npm(公式)(外部)
JavaScript/TypeScriptの中心的パッケージレジストリ。週数十億回のダウンロードを処理している。
Microsoft Security(外部)
Microsoft Defenderを通じShai-Hulud検知・対策ガイドを継続提供しているセキュリティ部門。
TanStack(外部)
React Router等で知られるOSSライブラリ群。2026年5月にパッケージ汚染被害を受けた。
Mistral AI(外部)
フランス発の生成AIスタートアップ。TanStack攻撃の連鎖でパッケージが影響を受けた。
UiPath(外部)
RPA市場をリードする企業。Mini Shai-Hulud攻撃の波及対象の一つとなっている。
pnpm(外部)
高速・省ディスクなパッケージマネージャ。消費者側の防御機能を先行実装している。
Yarn(外部)
Meta発のnpm代替パッケージマネージャ。Berry以降はスクリプト実行をデフォルトで遮断する。
Bun(外部)
高速なJavaScriptランタイム兼パッケージマネージャ。Shai-Hulud亜種に悪用されてもいる。
The Register(外部)
1994年創刊の英国発IT専門メディア。セキュリティ報道で高い信頼を持つ。
経済産業省「SBOM導入の手引 ver2.0」公表ページ(外部)
日本政府の公式SBOMガイドライン公表ページ。サプライチェーン対策の国内基盤である。
【参考記事】
Shai-Hulud Goes Open Source: Malware Creators Leak Their Own Code to GitHub(Ox Security)(外部)
TeamPCPによるオープンソース化を発見した一次情報。コミット日付偽装や関連3アカウントの存在を詳述している。
New Shai-hulud worm spreads: What to know(ReversingLabs)(外部)
Shai-Hulud 2.0の規模を最も詳しく示した分析。795パッケージ、27,000以上のリポジトリの汚染を記録している。
TanStack npm Packages Hit by Mini Shai-Hulud(Snyk)(外部)
2026年5月11日のTanStack攻撃の詳細分析。42パッケージ・週1,270万DLの汚染とTeamPCPの別名を報告している。
Shai-Hulud 2.0: Guidance for detecting, investigating, and defending against the supply chain attack(Microsoft Security Blog)(外部)
Microsoftが2026年5月11日にMini Shai-Hulud再来を確認。170以上のnpmと2つのPyPIパッケージで404バージョン汚染を公表した。
Shai-Hulud Worm Attack Explained: Inside the npm Supply Chain Breach(Mirrorfolio)(外部)
サプライチェーン攻撃被害額が2025年600億ドル、2031年に1,380億ドルへ膨らむ予測を提示している記事。
Mini Shai-Hulud Worm Compromises TanStack, Mistral AI, Guardrails AI & More Packages(The Hacker News)(外部)
デッドマンスイッチの仕様、トークン取り消しで `rm -rf ~/` が実行される設計を明らかにした記事である。
【編集部後記】
私たちが毎日 npm install と打つそのコマンドの先には、世界中の見知らぬメンテナーの善意が積み重なっています。今回の事件は、その「信頼の連鎖」を逆手に取られた出来事でした。攻撃側がAIとオープンソース文化を使いこなす時代に、開発者一人ひとり、サービスを使う私たち一人ひとりは、何を「当たり前」として疑うべきなのでしょうか。
みなさんのプロジェクトでは、依存ライブラリをどんな基準で選んでいますか? ぜひ、身近な開発者の方とも話題にしてみてください。
